Цифровая безопасность

Политическая ситуация, блокировка и уход многих сервисов, которые, как казалось, будут доступны вечно, сильно встревожили, уже доставили хлопот и заставляют задуматься о рисках и технологическом суверенитете уже собственного бизнеса. Не претендуя на глубокий экспертный анализ, поскольку более-менее крупные компании уже могут позволить себе команду специалистов, предлагаю быстро пройти «по верхам» уязвимости типичных цифровых активов микро- и малого бизнеса.

Сайт

Веб-сайт, даже если он создан на конструкторе (например популярной «Тильде»), состоит из нескольких компонентов инфраструктуры, которые нужно проверить отдельно.

Домен — это собственно имя вашего сайта, по которому его можно найти в Интернет вида example.com. Если случилось так, что его имя зарегистрировано за пределами РФ, достаточно оперативно нужно начать процесс переноса к российским регистраторам доменных имён (nic.ru, reg.ru etc.). Процесс это небыстрый, а проблемы с оплатой или блокировкой аккаунта иностранным регистратором могут быть неожиданными. Обычно, домен оплачивают на год и даже более и забывают. Эта ситуация даже в мирное время чревата проблемами, через пять лет найти кто-куда платил и где доступы становится нетривиальной задачей.

Хостинг. Как ни удивительно, хостинг (то есть сервер на котором расположен сайт) не имеет никакого отношения к домену, да конечно многие регистраторы продают заодно и хостинг, а многие хостеры торгуют по партнёрке и доменами, но это отдельный сервис и нужно убедиться, что он также расположен в РФ, если только вы не намеренно разместили его за пределами РФ (например поближе к вашим клиентам), в этом случае, советуем убедиться, что у вас корректно настроено резервное копирование данных (бекапы), о котором чуть позже.

Сайт на конструкторе. Часто сайт, а ещё чаще лендинг или посадочная страница сделаны на конструкторе, который удобно совмещает в себе и систему управления контентом, и хостинг, и управление доменом. Если сайт сделан на популярной в России «Тильде», то пока беспокоиться не будем, в оферте указан ИП Никита Обухов, сервера находятся в РФ, юрисдикцией сервиса тоже является РФ, надеемся, что так оно и останется. Но если ваш сайт или лендинг использует зарубежный конструктор (Wix, Squarespace, Shopify), то вы рискуете, причём не только в случае блокировки со стороны самих платформ, но и например в случае блокировки инфраструктуры, которую они используют, например многие сервисы используют серверные решения от AWS от Amazon или CloudFlare для обеспечения безопасности. В случае проблем с этими сервисами, существует угроза и для вашего сайта. Поэтому, мой вам совет: подумайте о переносе сайта в домашний регион, что, с помощью специалиста, вполне выполнимая вещь.

Почта — Очень важный сервис, который нужно проверить. Это ещё одна сущность, которая хоть и связана с доменом, но является самостоятельным сервисом. Если вы, как многие (в том числе и мы в Molinos) настроили Яндекс Почту для своего домена, то пока волноваться не о чем (хотя новые домены в Яндексе уже только за деньги), так же всё в порядке, если у вас есть собственный почтовый сервер в юрисдикции РФ. Но если для вашего домена настроен почтовик от Google или от другого иностранного сервиса, то есть риск и нужно принимать меры.

Файлы в облаках Dropbox, Google Disk, OneDrive (Microsoft) — это всё кандидаты на замену. Неплохих альтернатив у нас много, основные это конечно Яндекс.Диск и Облако (Mail.ru). Если только вы не настроили хитрых интеграций и автоматизаций, то немного привыкнув разницы вы не заметите.

Конечно самое трудное — это отказаться от Google Docs, альтернатива Яндекс.Документы, к сожалению, нам совсем не приглянулась. Поэтому я советую продолжать пользоваться документами, но обязательно периодически делать бекапы, как на личном уровне, так и на уровне организации.

Бекапы (резервные копии)

Обязательным процессом в компании должна быть проверка рутин резервного копирования, отсутствие копий может сильно ударить не только в случае блокировок, но и в случае аварий и сбоев. Поэтому, в отношении всего выше перечисленного, что можете сделайте сами (как в случае с Google документами), а для чего не сможете, обратитесь к специалистам, даже сайт на конструкторе можно скопировать себе на диск или хранилище в формате html, на случай отказа сервиса (что тоже вполне себе возможно, никто не гарантирует 100% надёжности).

Пароли

Стратегия хранения паролей — одна из самых чувствительных тем инфобезопасности бизнеса, к сожалению часто это самое слабое место через которое происходят утечки. Связанно это с тем, что тут наиболее тесно пересекается личная и корпоративная цифровая гигиена, а освоение базовых навыков работы с инструментами требует некоторых усилий пользователя. Решения по хранению паролей (исключая метод записи на стикере на рабочем столе), можно разделить на три вида:

• Встроенные в операционные системы и браузеры менеджеры паролей (например Apple Keychain или Google Password Manager)
• Специализированные сервисы для хранения паролей с облачной архитектурой (1password, Bitwarden)
• Решения позволяющие развернуть приложение на собственном сервере для совместной работы и работать через плагины в браузере (например Passbolt).

С точки зрения безопасности, для бизнеса предпочтителен последний вариант, он же является самым сложным — потребуется квалифицированный человек для установки и поддержки серверного решения и помощи по внедрению его у пользователей. Все остальные варианты, к сожалению, в текущей ситуации выглядят ненадёжными — какой бы фантастической не казалось мысль об отключении Apple аккаунтов, вероятность сейчас отлична от нуля, что в свете возможного ущерба уже много. Компромиссным решением для себя лично, я выбрал Bitwarden, который в отличие от 1password, продолжает работать для пользователей из России и является Open Source проектом, что даёт надежду, что даже в худшем случае у разработчиков будет возможность сделать т.н. форк и продолжить работу.

Оцените, кстати, степень «надёжности» облачных решений, на примере 1password — сервис просто отказался работать с пользователями из РФ, делайте выводы.

Корпоративно мы используем Passbolt на собственном сервере, что решает проблему блокировок.

VPN

Последний в нашем списке пункт VPN позволит пока получить доступ к ресурсам заблокированным как изнутри, так и извне. Да, да, многие сервисы любезно сообщают, что для пользователей из России они больше не доступны. Если всё же есть острая потребность ими пользоваться, то VPN должен в этом помочь.

Нужно понимать, что VPN это по сути ваша персональная тропинка напрямую к серверу где-то вне РФ, через который вы получаете доступ к сети Интернет. Т.е. если вы хотите выглядеть как немецкий пользователь сервер физически должен находиться в Германии. Многие популярные сервисы VPN (напр. NordVPN) предоставляют возможность выбрать страну, через которую пойдёт трафик, но бывают случаи, когда этого не достаточно, например мы столкнулись с необходимостью иметь статический IP адрес для некоторых задач, чего тот же NordVPN предоставить не может. В этом случае хорошим и дешёвым решением будет аренда виртуальной машины в каком-то облаке (например Digital Ocean) и разворачивании там VPN сервиса, стоимость аренды минимальной конфигурации на Digital Ocean — $5, плюс какие-то усилия администратора по разворачиванию сервера.